doh

Freebox HD et switch manageable :)

56 posts in this topic

Salut à tous :)

 

Juste une petite information, peut être que cela aidera quelqu'un .. un jour :)

 

en activant le mode géré de mon switch dell, ma box hd restait bloquée sur "réseau" .

vu que j'aime pas spécialement le wifi (bah oui y a le switch juste derriere lol) j'ai sorti wireshark,

En fait la box HD faisait des requettes DHCP dans vent, ces requettes etaient taguées sur un VLAN 100.

si ca interesse quelqu'un, la box adsl à une adresse ip 192.168.27.14 et la box HD 192.168.27.1 ^^

 

 

Donc si un jour vous reliez votre freebox HD et freebox adsl sur un switch manageable qui gère les vlans (norme 803.1Q )

comme ceci [box Adsl]-----[switch manageable]-----[box HD]

 

si plus rien ne fonctionne.. voilà une petite astuce :)

 

Il vous faut créer sur votre switch un vlan qui a comme VID "100" puis vous tagez les ports sur lesquels vous avez vos box. :)

 

ps n'oubliez pas d'ajouter les ports des box en tant que membres des vlans de vos stations ! :)

 

 

voilouvoilou :)

 

Share this post


Link to post
Share on other sites
Donc si un jour vous reliez votre freebox HD et freebox adsl sur un switch manageable qui gère les vlans (norme 803.1Q )

comme ceci [box Adsl]-----[switch manageable]-----[box HD]

Le problème devient un peu plus complexe avec une bécane linux au milieu qui NAT et un firewall iptables (mode routeur de la freebox désactivé)

Il vous faut créer sur votre switch un vlan qui a comme VID "100" puis vous tagez les ports sur lesquels vous avez vos box. :)

ps n'oubliez pas d'ajouter les ports des box en tant que membres des vlans de vos stations ! :)

et là, traduire ça en ligne de commande... Je cherche, mais j'ai l'impression qu'une règle iptables seule ne suffira pas :(. Je pensais au départ utiliser les 2 ip locales des boitiers, sauf qu'au branchement, le boitier HD fait des broadcasts qui ne passent pas le NAT et je n'ai pas réussi à aller plus loin.

 

Je continue à chercher, mais si quelqu'un a déjà réussi à obtenir un comportement correct avec cette configuration physique, ça m'intéresse beaucoup.

 

Mais déjà, merci à doh d'avoir fait avancer le pb...

Share this post


Link to post
Share on other sites
Le problème devient un peu plus complexe avec une bécane linux au milieu qui NAT et un firewall iptables (mode routeur de la freebox désactivé)

Non, c'est très simple : en NAT ça ne marchera pas! Deux machines se connaissent par leurs IP respectives, si tu bidouilles les adresses entre les deux ça n'a aucune chance de marcher.

 

et là, traduire ça en ligne de commande... Je cherche, mais j'ai l'impression qu'une règle iptables seule ne suffira pas :(. Je pensais au départ utiliser les 2 ip locales des boitiers,

C'est à dire, tu as testé quelle config?

 

sauf qu'au branchement, le boitier HD fait des broadcasts qui ne passent pas le NAT

Les broadcast par définition ne passent pas un routeur. Quand on veut les faire passer (p.e. DHCP) on met un relais.

 

et je n'ai pas réussi à aller plus loin.

À la base :

  • la box ADSL n'est pas conçue pour être connectée à un routeur
  • les deux box doivent être connectée directement, sur le même "lien" ("link")
Pourquoi ne pas utiliser tout simplement un switch?

 

Je continue à chercher, mais si quelqu'un a déjà réussi à obtenir un comportement correct avec cette configuration physique, ça m'intéresse beaucoup.

Il faut (et il suffit) mettre les deux box sur le même "lien", donc le ponter les deux interfaces Ethernet de ton PC. Donc utiliser les brctl, pas iptables. (Disclaimer : non testé!)

Share this post


Link to post
Share on other sites
Non, c'est très simple : en NAT ça ne marchera pas! Deux machines se connaissent par leurs IP respectives, si tu bidouilles les adresses entre les deux ça n'a aucune chance de marcher.

 

effectivement, c'est pour ça que, j'aimerais avoir un comportement de mon routeur équivalent à un simple "cable" ou switch mais uniquement pour les communications entre la freebox et le boitier HD.

 

C'est à dire, tu as testé quelle config?

 

j'ai voulu essayer de faire du filtrage par mac et renvoyer les paquets venant du boitier HD (venant de l'interface GREEN du routeur) vers la freebox (donc sur l'interface RED) au départ en utilisant la table mangle de iptables, mais le module n'est pas chargé sous debian et ça n'a pas fonctionné, je n'ai jamais récupéré les paquets, de plus, même si ça avait marché, je ne sais pas comment j'aurais pu filtrer les paquets venant de la freebox et faire passer de RED vers GREEN uniquement ceux qui visent le boitier HD.

 

Les broadcast par définition ne passent pas un routeur. Quand on veut les faire passer (p.e. DHCP) on met un relais.

 

Je ne savais pas qu'avec un relais DHCP on pouvait les transmettre, mais effectivement, ça semble logique, le seul défaut, comment relayer uniquement 1 seule mac (celle du boitier HD) et pas les autres ?

 

À la base :

  • la box ADSL n'est pas conçue pour être connectée à un routeur
  • les deux box doivent être connectée directement, sur le même "lien" ("link")
Pourquoi ne pas utiliser tout simplement un switch?

 

c'est un problème de distance, ma freebox est éloignée du serveur et je ne souhaite pas mettre plus d'un cable réseau entre ma freebox et le boitier HD. Pour l'instant j'ai :

 

freebox |--- distance ---RED|routeur linux(FW + NAT + serveur web)|GREEN---|switch|====|2*pc + boitier HD...

 

et au niveau physique j'aimerai éviter de devoir rajouter du materiel supplémentaire (comme un switch) entre la freebox et l'interface RED du serveur s'il est possible de le faire de manière logicielle.

 

Il faut (et il suffit) mettre les deux box sur le même "lien", donc le ponter les deux interfaces Ethernet de ton PC. Donc utiliser les brctl, pas iptables. (Disclaimer : non testé!)

 

Oui, mais je ne sais pas comment faire en sorte que seul le traffic entre la freebox et le boitier HD soit routé par le bridge. Tout le reste du traffic doit continuer de passer par NAT pour être accessible aux autres pc du réseau local. (je souhaite continuer à utiliser mon NAT/DHCP pour mon réseau local et pas celui de la freebox).

 

Merci pour ta réponse, je vais regarder aussi du coté relais dhcp. J'espère avoir éclairci pourquoi je souhaite faire cette manip.

Share this post


Link to post
Share on other sites
effectivement, c'est pour ça que, j'aimerais avoir un comportement de mon routeur équivalent à un simple "cable" ou switch mais uniquement pour les communications entre la freebox et le boitier HD.

Il te faut donc configurer un brouter avec ebtables.

 

j'ai voulu essayer de faire du filtrage par mac

Avec "iptables --match mac"?

 

et renvoyer les paquets venant du boitier HD (venant de l'interface GREEN du routeur) vers la freebox (donc sur l'interface RED) au départ en utilisant la table mangle de iptables,

MANGLE c'est pour altérer les paquets; quelle cible voulais-tu utiliser?

 

mais le module n'est pas chargé sous debian

Le module mac?

 

et ça n'a pas fonctionné, je n'ai jamais récupéré les paquets, de plus, même si ça avait marché, je ne sais pas comment j'aurais pu filtrer les paquets venant de la freebox et faire passer de RED vers GREEN uniquement ceux qui visent le boitier HD.

Tu peux montrer les règles que tu as essayé?

 

Je ne savais pas qu'avec un relais DHCP on pouvait les transmettre, mais effectivement, ça semble logique, le seul défaut, comment relayer uniquement 1 seule mac (celle du boitier HD) et pas les autres ?

Attention, un relais DHCP relais seulement le DHCP, ce n'est pas fait pour autre chose.

 

Pour l'instant j'ai :

 

freebox |--- distance ---RED|routeur linux(FW + NAT + serveur web)|GREEN---|switch|====|2*pc + boitier HD...

Donc tu as déjà ce qu'il faut pour ne pas avoir à configurer un pont : un switch!

 

Il suffit de le mettre avant l'ordinateur. Par contre le DHCP de la Freebox n'est pas désactivable en mot pont, donc soit :

  • tu passes en mode routeur, tu désactives le DHCP, si tu as besoin tu mets ton routeur linux en "DMZ", c'est à dire en cible DNAT; ça te fais un accès indirect (naté) à Internet, mais qui ressemble un peu à un accès direct (et tu peux bidouiller avec iptables pour que le routeur crois avoir l'IP publique qu'a la Freebox - et donc qu'il a indirectement via le SNAT de la box - si tu as besoin)
  • tu abandonnes le DHCP au profit d'une IP statique sur les PC derrière le routeur
et au niveau physique j'aimerai éviter de devoir rajouter du materiel supplémentaire (comme un switch) entre la freebox et l'interface RED du serveur s'il est possible de le faire de manière logicielle.

C'est possible comme en déplaçant le switch (avec un compromis entre le DHCP et le mode pont) ou en broutant.

Edited by corrector

Share this post


Link to post
Share on other sites
Il te faut donc configurer un brouter avec ebtables.

merci, ça a marché !!!! je donne ma config si ça interesse quelqu'un jour :

 

installer ebtables + le module noyau adapté

 

sudo modprobe ebtables
sudo modprobe ebtables_broute

les modules sont à rajouter dans /etc/modules pour rendre le changement permanent

 

à rajouter dans votre firewall (/etc/network/if-pre-up/iptables-start si vous êtes sous debian)

ebtables -t broute -A BROUTING -p 0x8100 --vlan-id ! 100 -j DROP
ebtables -t broute -A BROUTING -p ! 0x8100 -j DROP

 

et sous /etc/network/interfaces

auto br0
iface br0 inet manual
        bridge_ports interface0 interface1
    bridge_maxwait 0

(en remplacant par les bonnes interfaces)

et faire un redemarrage du reseau !

 

 

pour la fin de la discussion :

 

Avec "iptables --match mac"?

 

MANGLE c'est pour altérer les paquets; quelle cible voulais-tu utiliser?

 

Non, avec "--mac-source mac-boitier-HD -t mangle --oif RED" pour pouvoir rebalancer tout sur l'interface reseau RED.

 

Donc tu as déjà ce qu'il faut pour ne pas avoir à configurer un pont : un switch!

 

Il suffit de le mettre avant l'ordinateur. Par contre le DHCP de la Freebox n'est pas désactivable en mot pont, donc soit :

  • tu passes en mode routeur, tu désactives le DHCP, si tu as besoin tu mets ton routeur linux en "DMZ", c'est à dire en cible DNAT; ça te fais un accès indirect (naté) à Internet, mais qui ressemble un peu à un accès direct (et tu peux bidouiller avec iptables pour que le routeur crois avoir l'IP publique qu'a la Freebox - et donc qu'il a indirectement via le SNAT de la box - si tu as besoin)
  • tu abandonnes le DHCP au profit d'une IP statique sur les PC derrière le routeur

C'est possible comme en déplaçant le switch (avec un compromis entre le DHCP et le mode pont) ou en broutant.

 

Si il y a un switch derrière, c'est parce que mon pc/routeur linux n'a que 2 interfaces réseaux alors qu'il y a au moins 2 bécanes permanentes + 2 temporaires qui doivent se connecter sur mon réseau local (interface) ... donc le switch reste où il est, pas assez de prises en aval sinon :(.

 

Merci pour tes conseils, j'ai pu obtenir ce que je voulais en modifiant très peu mon installation logicielle et rien au niveau materiel ! Sachant qu'il n'y a que le boitier HD sur le vlan 100, je pense qu'au niveau sécurité, à moins que quelqu'un parvienne à pirater la freebox / le boitier HD, il n'y a pas de risque supplémentaire pour mon réseau local. J'espère que ça pourra servir à d'autres.

Share this post


Link to post
Share on other sites
Avec "iptables --match mac"?

Non, avec "--mac-source mac-boitier-HD -t mangle --oif RED" pour pouvoir rebalancer tout sur l'interface reseau RED.

Oui, c'est bien ce que je dis, voir Autres Extensions de Concordance :

mac

 

Ce module doit être spécifié explicitement avec `-m mac' ou `--match mac'. Il est utilisé pour concorder à des adresses Ethernet (MAC) de paquets qui arrivent, et est seulement utile pour convenir avec des paquets traversant les chaines INPUT et PREROUTING. Il donne une seule option:

--mac-source

 

Si il y a un switch derrière, c'est parce que mon pc/routeur linux n'a que 2 interfaces réseaux alors qu'il y a au moins 2 bécanes (...) qui doivent se connecter sur mon réseau local (interface) ...

Oui, j'avais bien compris ça!

 

donc le switch reste où il est, pas assez de prises en aval sinon :(.

Non, l'idée est de déplacer le switch avec toutes les machines toujours branchées dessus, un peu d'ASCII-art :

 

Fbx ADSL -------------- switch +--- PC NAT-routeur vers LAN privé
          (long câble)         +--- x PC (dans LAN privé)
                               +--- Fbx TV

qui est isomorphe au branchement utilisant le switch de la Fbx (si les 5 ports Ethernet suffisent) :

Fbx ADSL +--- PC NAT-routeur vers LAN privé
         +--- x PC (dans LAN privé)
         +--- Fbx TV

Sinon, ça revient à te demander d'acheter un autre switch (ou de longs câbles pour utiliser celui de la Fbx ADSL).

 

Share this post


Link to post
Share on other sites
Oui, j'avais bien compris ça!

 

Non, l'idée est de déplacer le switch avec toutes les machines toujours branchées dessus, un peu d'ASCII-art :

 

Fbx ADSL -------------- switch +--- PC NAT-routeur vers LAN privé
          (long câble)         +--- x PC (dans LAN privé)
                               +--- Fbx TV

euhhh, même si les 2 solutions que tu propose sont valables au niveau sécurité (il faut dans tous les cas faire tomber le serveur sur lequel tout est redirigé pour accéder au reste), le dhcp+NAT de la freebox a quelques lacunes : pas de réglage des noms de machines si je me souviens bien, sans compter que si le réseau extérieur tombe (freebox down), plus rien de marche en interne !

 

Et pour l'autre solution, avec ip fixes pour les autres pcs, c'est la croix et la bannière dès que des amis viennent et ont besoin du net. De plus, je préfère éviter de desservir l'exterieur et le lan sur la même interface ethernet, je ne trouve pas ça très propre, même si ça marche sans doute très bien.

 

Finalement, je préfère avoir le moins de choses possibles à régler sur la freebox (la laisser en mode pont avec le dhcp qui fournit les dns "exterieurs" et son ip fixe au serveur) tout en conservant les bénéfices du serveur linux pour le dhcp, dns... interne par example quand je dois réinstaller une bécane par pxe. Sachant, de plus, que j'ai un contrôle total au niveau du serveur, que ce soit pour les sauvegardes ou en cas de problème, ce dernier est, je pense, plus facile à identifier si j'ai des outils non disponibles sur la freebox (tcpdump...).

 

<troll>Donc au final, je conserve mon petit brouter, il permet d'être plus simple et je peux frimer en disant que seul une bécane linux peut faire un firewall / pont comme ça ;).</toll>

Share this post


Link to post
Share on other sites
euhhh, même si les 2 solutions que tu propose sont valables au niveau sécurité (il faut dans tous les cas faire tomber le serveur sur lequel tout est redirigé pour accéder au reste), le dhcp+NAT de la freebox a quelques lacunes :

Non non, je n'ai pas parlé de faire faire à la Freebox le boulot de NATage à la place du PC.

 

Le schéma de câblage est

Fbx ADSL -------------- switch +--- PC NAT-routeur vers LAN privé
          (long câble)         +--- x PC (dans LAN privé)
                               +--- Fbx TV

mais le schéma IP reste

Fbx ADSL ---+--- PC NAT-routeur --- x PC (dans LAN privé)
            +--- Fbx TV

dans tous les cas.

 

Et pour l'autre solution, avec ip fixes pour les autres pcs, c'est la croix et la bannière dès que des amis viennent et ont besoin du net.

Je comprends, c'était une idée comme ça.

De plus, je préfère éviter de desservir l'exterieur et le lan sur la même interface ethernet, je ne trouve pas ça très propre, même si ça marche sans doute très bien.

Si tu configures tes interfaces comme cela, peu importe que LAN_IF == WAN_IF :

# Disclaimer : script non testé, etc.
# LAN_IF donne accès au LAN privé (plage d'adresses LAN_SUBNET), avec l'adresse locale LAN_IP
ip addr add ${LAN_IP} dev ${LAN_IF} 
ip route add ${LAN_SUBNET} dev ${LAN_IF} src ${LAN_IP}

# WAN_IF donne accès à Internet avec l'IP publique WAN_IP
ip addr add ${WAN_IP} dev ${WAN_IF} 
ip route add default dev ${WAN_IF} via ${WAN_GW} src ${WAN_IP}

Une interface réseau logique avec deux routes correspondant à deux IP sources différentes, c'est ça le problème? Dans ce cas tu pourrais utiliser un VLAN Ethernet pour le LAN (et alors LAN_IF != WAN_IF).

 

Le switch partagé entre deux réseaux, c'est ça le problème? Si la Freebox est hackée, le LAN est accessible directement, évidemment. En dehors de cet aspect sécuritaire, je ne vois pas d'autres problèmes.

 

pas de réglage des noms de machines si je me souviens bien,

C'est quoi les "noms de machines"?

 

sans compter que si le réseau extérieur tombe (freebox down), plus rien de marche en interne !

Tu as toujours ton switch. Même en utilisant le mode routeur de la Freebox à la place d'un PC NATeur (ce que je n'ai pas proposé), je ne vois pas le problème.

 

Finalement, je préfère avoir le moins de choses possibles à régler sur la freebox (la laisser en mode pont avec le dhcp qui fournit les dns "exterieurs" et son ip fixe au serveur) tout en conservant les bénéfices du serveur linux pour le dhcp, dns... interne par example quand je dois réinstaller une bécane par pxe. Sachant, de plus, que j'ai un contrôle total au niveau du serveur, que ce soit pour les sauvegardes ou en cas de problème, ce dernier est, je pense, plus facile à identifier si j'ai des outils non disponibles sur la freebox (tcpdump...).

En plus, on ne sait pas exactement quels modules conntrack sont chargés sur la Freebox en mode routeur (le ftp y est, c'est tout ce que j'ai testé). On ne peut pas ajouter des modules netfilter, changer dynamiquement les redirections, faire un filtrage fin, encore moins y installer des passerelles applicatives (DNS récursif, squid...).

 

Dans ma première proposition :

tu passes en mode routeur, tu désactives le DHCP, si tu as besoin tu mets ton routeur linux en "DMZ", c'est à dire en cible DNAT; ça te fais un accès indirect (naté) à Internet, mais qui ressemble un peu à un accès direct (et tu peux bidouiller avec iptables pour que le routeur crois avoir l'IP publique qu'a la Freebox - et donc qu'il a indirectement via le SNAT de la box - si tu as besoin)

Tu n'as que deux/trois choses à faire sur la console de gestion : activer le mode routeur, désactiver le DHCP (c'est le but de la manuvre), éventuellement définir ton PC NAT-routeur comme DMZ. Après tu n'as plus à y revenir, et tu contrôles (presque) tout au niveau de ton PC : par exemple, mettons que ton LAN géré (en terme de NAT-routage, redirections, DHCP...) par ton PC (qu'on appellera LAN-PC) soit en 192.168.0/24, qu'on convient que les passerelles ont le numéro 254, tu peux paramétrer le mode routeur comme ceci :

DHCP : off
IP DMZ : 192.168.1.1
IP Freebox : 192.168.1.254

La Freebox ADSL fait grosso-modo ceci :

iptables -t nat -A POSTROUTING -o wan -j SNAT
iptables -t nat -A PREROUTING -i lan -j DNAT --to-destination 192.168.1.1

Le schéma au niveau IP est donc :

         -----     Freebox ADSL     -----------------     PC NAT-routeur     ------------     PC client
Interface:     WAN              LAN                   WAN                LAN              WAN 
Réseau: Internet                      Freebox-LAN                               PC-LAN 
IP:       IP publique      192.168.1.254          192.168.1.1       192.168.0.254        192.168.0.x
               <====== SNAT ========                   <======= SNAT ========       
           === DNAT to 192.168.1.1 ===>              ==== redirections, etc. ====>

Notations : j'appelle WAN l'interface qui a la route par défaut, et LAN l'interface qui a une autre route et une autre IP (et qui n'est pas lo :o ). (Les notations WAN et LAN peuvent désigner la même interface.)

 

Comme la Freebox ADSL ne communique qu'avec une seule machine, et qu'elle lui balance toutes les connections entrantes, ça ressemble un petit peu au mode pont. (On peut bidouiller pour que ça ressemble un peu plus au mode pont.)

 

<troll>Donc au final, je conserve mon petit brouter, il permet d'être plus simple et je peux frimer en disant que seul une bécane linux peut faire un firewall / pont comme ça ;).</toll>

C'est clair.

 

Mais j'aime bien explorer les autres possibilités architecturales.

 

Share this post


Link to post
Share on other sites
C'est quoi les "noms de machines"?

 

dns et reverse dns.

 

Ta solution a un avantage indéniable : je pourrais virer une des cartes réseau de mon serveur, mais vu que je risque, à un moment où à un autre, d'activer le wifi de la freebox, je préfère éviter que tout le monde puisse se balader depuis le wifi sur le réseau cablé, et si je ne me trompe pas, si tu active le wifi freebox, tu es sur le même réseau physique que les interfaces ethernet de la freebox, d'où une sécurité moyenne ... Bon, pour le reste, je pense qu'on s'est compris :).

Share this post


Link to post
Share on other sites
dns et reverse dns.

Rien ne t'empêche d'installer un DNS autoritaire, d'écrire un fichier de zone avec les entrées directes et inverses dont tu as besoin, du moment que tu as un serveur allumé en permanence (enfin aussi souvent qu'un autre PC est allumé). Après tu installe un DNS récursif qui en plus des root-servers classiques renverra sur ton DNS autoritaire. (Pourquoi s'emm. avec deux serveurs séparés? Parce que des gens très bien et très sages l'ont prescrit pour des raisons de sécurité. ;) )

 

Bon, un ou deux serveurs DNS, je ne vois pas en quoi ce travail serait mieux fait par la Freebox.

 

Ta solution a un avantage indéniable : je pourrais virer une des cartes réseau de mon serveur, mais vu que je risque, à un moment où à un autre, d'activer le wifi de la freebox, je préfère éviter que tout le monde puisse se balader depuis le wifi sur le réseau cablé, et si je ne me trompe pas, si tu active le wifi freebox, tu es sur le même réseau physique que les interfaces ethernet de la freebox, d'où une sécurité moyenne ... Bon, pour le reste, je pense qu'on s'est compris :).

Tu ne te trompes pas, tout est ponté : le mini-switch, la prise jaune, le Wifi et la liaison USB (interface Ethernet virtuelle).

 

Le risque si quelqu'un accède à la Freebox, ce n'est pas juste l'accès à ton LAN, c'est l'accès à Internet avec ton IP (donc le blacklistage éventuel de ton IP si la personne est indélicate), et surtout ta responsabilité légale (tu dois mettre en l'uvre les moyens permettant d'éviter l'usage frauduleux de ta connexion, c'est écrit dans les CGV).

 

Par ailleurs, l'accès à l'interface de gestion, au Webmail (tant IMP que Zimbra), au POP, IMAP est en clair chez Free. Gare au sniffage de mdp si tu le fais par un Wifi non sécurisé.

 

Mais si tu actives le Wifi avec WPA/AES (PSK) en choisissant une clef aléatoire, je ne vois pas de problèmes.

Share this post


Link to post
Share on other sites

Bonjour :D ,

 

Je suis tombé sur ce topic et je dois avouer que je suis très intéressé ;) ...En effet j'ai récemment eu une freeBox HD (l'ancienne version, a 3 antenne et en 9v, car celle livré a l'origine avec freeplug ne fonctionnais pas) et je suis un peu embêté pour la gestion de mon réseau...J'aimerais bien avoir quelques informations/confirmations, et il semble qu'ici il y ai des personnes compétentes pour répondre a mes question (et me donner des avis éclairés)

 

Pour commencer, j'aimerais savoir si dans le boitier ADSL il y a une "différence" entre les 4 prises "classiques" et la "prise jaunes". D'après 'corrector' il ne semble pas.

...

Tu ne te trompes pas, tout est ponté : le mini-switch, la prise jaune, le Wifi et la liaison USB (interface Ethernet virtuelle).

...

 

Quand je parle de "différence" je veux dire :

si le boitier ADSL est en mode "Modem" seul, les 5 ports sont ils "sur le même brin Ethernet" ou sur 2 sous réseaux ?

si le boitier ADSL est en mode "Routeur" est ce que ces 5 prises sont sur le même réseau (je parle en IP classique) ?

Dans les 2 cas, j'ai du mal a comprendre car d'après le post de 'doh' les IP des 2 boitiers sont en 192.168.27.x

J'ai -personnellement- du mal a comprendre comment sur un réseau (ou sous réseau dans le cas ou le boitier ADSL est en routeur) 2 machines peuvent cause entre elles avec un sous réseau différent... Mais bon, peut être que la pile ARP ou IP des PC ne prend pas les messages qui ne concerne pas le sous réseau ?

 

En fait j'aimerais dans un premier temps avoir une configuration suivante (je vais moi aussi essayer de faire de l'art a ski :heh: )

Dans cette config, le boitier ADSL est en mode routeur

Fxb ADSL  +--- FreePlug #1 <-- on change physiquement de pièce --> FreePlug #2 +----- Switch +------- FreeBox HD
          +--- PC1                                                                           +-----  PC 4
          +--- PC2
          +--- PC3
          +--- AP Wifi (je veux couper le Wifi quand je veux, avec un bouton ON/OFF  <_<  )

D'ou mes doutes :

  1. La Freebox HD peut elle être connecté sur le même (sous)réseau que les PC ?
  2. Le port jaune est il "vraiment identique" aux autres ports (et si oui, pourquoi qu'il est jaunes dis :blink: ?)

 

Bon, déjà si ca c'est possible je serais contant (reste a comprendre après comment c'est possible entre le boitier ADSL et la Box HD :rolleyes: )

Ensuite, moi aussi j'aimerais utiliser mon propre routeur (comme je le fait actuellement sous OpenWrt) pour utiliser des services comme Vnc répéteur, serveur VPN ... Du coup j'aimerais faire (a terme, je suis pas pressé)

 

Fxb ADSL +--- routeur  +--- FreePlug #1 <-- on change physiquement de pièce --> FreePlug #2 +----- Switch +------- FreeBox HD
                       +--- PC1                                                                           +-----  PC 4
                       +--- PC2
                       +--- PC3
                       +--- AP Wifi

Dans ce dernier cas, je rejoins la discutions et je cherche a comprendre ce qu'il faudrait faire sur le routeur pour permettre la discutions entre le boitier ADSL et le boitier HD.L'idée DMZ est astucieuse :P mais je me demande comment faire autrement... Au sujet du 803.1Q, dois je comprendre qu'en fait on crée un "lien ethernet virtuel" dans les 2 réseaux (ce qu'a fait 'nemo136' pour que cela marche) ?

Voila, en fait je pense que je vais essayer de comprendre un peux mieux EBTables (surtout ce que cela fait, ou est le VLAN 100 et le 803.1Q)

 

Dernière question (si vous avez encore de la patience :doh: ) est ce que je peux mettre l'alim de mon FreePlug2 (12v) sur le boitier HD (l(ancien donc qui est indiqué 9v) , il me semble que non, mais avoir au niveau du boitier HD 2 prises de prises (sans jeux de mots) c'est domage...

 

Merci beaucoup !!!

 

Share this post


Link to post
Share on other sites
Je suis tombé sur ce topic et je dois avouer que je suis très intéressé ;) ...En effet j'ai récemment eu une freeBox HD (l'ancienne version, a 3 antenne et en 9v, car celle livré a l'origine avec freeplug ne fonctionnais pas)

Du point de vue de la gestion du réseau, je présume qu'elles sont toutes équivalentes.

 

et je suis un peu embêté pour la gestion de mon réseau...J'aimerais bien avoir quelques informations/confirmations, et il semble qu'ici il y ai des personnes compétentes pour répondre a mes question (et me donner des avis éclairés)

 

Pour commencer, j'aimerais savoir si dans le boitier ADSL il y a une "différence" entre les 4 prises "classiques" et la "prise jaunes". D'après 'corrector' il ne semble pas.

...jusqu'à preuve du contraire. Disons que si quelqu'un en trouve une, je serais curieux de savoir laquelle. J'ai déjà posé la question dans plusieurs forums. Si quelqu'un a une idée de différence observable, c'est facile à tester.

 

Quand je parle de "différence" je veux dire :

si le boitier ADSL est en mode "Modem" seul, les 5 ports sont ils "sur le même brin Ethernet" ou sur 2 sous réseaux ?

si le boitier ADSL est en mode "Routeur" est ce que ces 5 prises sont sur le même réseau (je parle en IP classique) ?

Comme je l'ai écris, le port jaune, le mini-switch, le Wifi et l'interface USB sont pontés, c'est tout. Quel que soit le mode, même, je crois, sans branchement de la prise xDSL (mais je ne peux pas vérifier pour l'instant!).

 

Pour le vérifier, envoie un broadcast Ethernet (il suffit d'un broadcast IP local, p.e. ping broadcast : ping 192.168.0.255) sur un port et regarde sur les autres (WireShark est ton ami).

 

Dans les 2 cas, j'ai du mal a comprendre car d'après le post de 'doh' les IP des 2 boitiers sont en 192.168.27.x

Entre eux. Ces adresses sont "privées"; pour utiliser les services Freebox, on utilise les adresses 212.27.40.254 (hd1.freebox.fr), 212.27.40.253 (hd2.freebox.fr), 212.27.38.253 (mafreebox.freebox.fr). Toutes ces adresses sont prises en charge directement par la Freebox réseau.

 

J'ai -personnellement- du mal a comprendre comment sur un réseau (ou sous réseau dans le cas ou le boitier ADSL est en routeur) 2 machines peuvent cause entre elles avec un sous réseau différent... Mais bon, peut être que la pile ARP ou IP des PC ne prend pas les messages qui ne concerne pas le sous réseau ?

Ton paquet qui n'est pas destiné à une machine qui n'est pas routeur (ou pont) est ignoré, toujours. C'est le B-A-BA du réseau IP (ou Ethernet). En fait, il est tout à fait possible d'utiliser un même "lien local" (link) avec plusieurs sous-réseaux IP - il y a un paramètre prévu pour ça dans linux, "shared_media" (je ne me souviens plus de ce que ça fait exactement).

 

En l'occurrence, ce n'est pas le cas : comme indiqué dans le premier message, il y a "trunk" VLAN pour la communication entre les box, qui n'apparait donc pas sur le même "lien local" que l'IP entre ordinateurs et Freebox. Il n'y a aucun mélange, d'aileurs, tu peux vérifier que si tu ne vois pas les ARP entre les box sur ton interface (si différente de celle utilisée pour relier les box).

 

En fait j'aimerais dans un premier temps avoir une configuration suivante (je vais moi aussi essayer de faire de l'art a ski :heh: )

C'est quand même plus facile avec de vrais skis!

 

Dans cette config, le boitier ADSL est en mode routeur

Fxb ADSL  +--- FreePlug #1 <-- on change physiquement de pièce --> FreePlug #2 +----- Switch +------- FreeBox HD
          +--- PC1                                                                           +-----  PC 4
          +--- PC2
          +--- PC3
          +--- AP Wifi (je veux couper le Wifi quand je veux, avec un bouton ON/OFF  <_<  )

FreePlug ~ câble Ethernet

(est équivalent à)

 

Switch + Switch ~ Switch

 

Donc tout ça équivaut à tout mettre sur le switch de la box (en supposant qu'il ai suffisamment de prises). Donc il n'y a pas de raison de ça ne marche pas.

 

D'ou mes doutes :

La Freebox HD peut elle être connecté sur le même (sous)réseau que les PC ?

Non. La Freebox TV est sur un sous réseau différent, point. On ne peut pas changer ça!

 

Le port jaune est il "vraiment identique" aux autres ports (et si oui, pourquoi qu'il est jaunes dis :blink: ?)

Pour aller avec la couleur du fils.

 

Si tu subodores une différence entre deux prises, c'est trivial à vérifier : tu inverses les branchements!

 

Dernière question (si vous avez encore de la patience :doh: ) est ce que je peux mettre l'alim de mon FreePlug2 (12v) sur le boitier HD (l(ancien donc qui est indiqué 9v) , il me semble que non, mais avoir au niveau du boitier HD 2 prises de prises (sans jeux de mots) c'est domage...

Sans problèmes, c'est prévu pour. (Sans doutes qu'ils pensaient laisser tomber les alims 9 V un jour. Et faciliter l'envoie d'alim de remplacement.)

 

J'en reste là, pas le temps de répondre en détail à tout maintenant, je verrai pour répondre au reste plus tard...

Share this post


Link to post
Share on other sites

Bonjour,

... J'en reste là, pas le temps de répondre en détail à tout maintenant, je verrai pour répondre au reste plus tard...

C'est déjà très bien! ça va me permettre de faire des essais, et si je trouve ou comprend mieux certaines point j'essayais de les mettre ici...

En tout cas, merci beaucoup pour toutes ces explications :)

 

A+

 

 

 

Share this post


Link to post
Share on other sites
Il te faut donc configurer un brouter avec ebtables.

Là ("il faut"), j'ai dis une grosse c^Hbêtise. On peut faire du brouting, mais ça n'est absolument pas indispensable : en effet, la Freebox ADSL gère deux sous-réseaux (avec le ou les PC, avec la Freebox TV), mais ne les mélange pas dans sur un même lien, puisque comme le dit l'OP, il y a un VLAN à part pour la communication entre les Freebox.

 

Donc il suffit de ponter ce VLAN là de part et d'autre du PC routeur, pas besoin des "acrobaties" du brouting.

 

 

Share this post


Link to post
Share on other sites

Bonjour,

je suis tombé avec grand intérêt sur cette conversation. Je comprends un peu mieux le fonctionnement du protocole de communication entre les 2 FBX.

Je voudrais faire la même chose que vous mais avec un routeur Lynksys à la place du Switch. J'avoue que je galère un peu dans les règles de routage sous DD-WRT! (d'autant qu'il n'y a pas ebtables)

 

Si quelqu'un s'y connait ou si quelqu'un a déjà réussi à faire ça, je suis preneur.

 

Merci

Share this post


Link to post
Share on other sites
je suis tombé avec grand intérêt sur cette conversation. Je comprends un peu mieux le fonctionnement du protocole de communication entre les 2 FBX.

Je voudrais faire la même chose que vous mais avec un routeur Lynksys à la place du Switch. J'avoue que je galère un peu dans les règles de routage sous DD-WRT! (d'autant qu'il n'y a pas ebtables)

Bonsoir,

 

Précisément, il n'y a aucun routage à faire (avec "route" ou "ip route"), c'est un pontage qu'il faut.

 

Et il n'y a pas besoin d'ebtables.

 

Si quelqu'un s'y connait ou si quelqu'un a déjà réussi à faire ça, je suis preneur.

Je ne connais pas, est-ce que tu peux faire un dump de la configuration : interfaces, ponts, routes, règles?

 

Share this post


Link to post
Share on other sites
Je ne connais pas, est-ce que tu peux faire un dump de la configuration : interfaces, ponts, routes, règles?

 

En fait j'ai suivi ce tuto: http://spin0us.free.fr/?page=article&id=007 où ils expliquent comment créer plusieurs VLAN et faire les règles de routage sur un Lynksys.

Pour info, l'interface WEB du DD-WRT ressemble à ça:

http://www.informatione.gmxhome.de/DDWRT/S...PN/index-2.html

 

Je pensais que mon problème provient du fait que je n'attribue pas le VID 100 au VLAN que je crée.

Share this post


Link to post
Share on other sites
En fait j'ai suivi ce tuto: http://spin0us.free.fr/?page=article&id=007 où ils expliquent comment créer plusieurs VLAN et faire les règles de routage sur un Lynksys.

Pour info, l'interface WEB du DD-WRT ressemble à ça:

http://www.informatione.gmxhome.de/DDWRT/S...PN/index-2.html

 

Je pensais que mon problème provient du fait que je n'attribue pas le VID 100 au VLAN que je crée.

Ces systèmes de configuration avec un patron où il suffit de remplir les cases, avec une jolie GUI par dessus, c'est simple, j'ai jamais réussi en m'en dépatouiller. Encore, pour configurer quelque chose de très compliqué, d'accord. Mais là, pour faire des commandes ip, vconfig, brctl je vois pas le besoin.

 

Je pense qu'il vaut mieux travailler directement en ligne de commande à coups de vconfig et de brctl. Reste à voir comment ça s'intègre dans le système existant.

 

Share this post


Link to post
Share on other sites
Donc il suffit de ponter ce VLAN là de part et d'autre du PC routeur, pas besoin des "acrobaties" du brouting.

 

Désolé pour le temps de réponse de deux mois :heh: . Pour l'instant, ça tourne avec un brouter, mais ce n'est pas très propre effectivement (je fais d'abord le bridge, puis je vire de ce dernier tout ce qui n'est pas sur le vlan de la freebox / freebox HD). De plus, je dois faire gaffe au bridge pour toutes mes manips (network restart...) :(. Si tu as des références pour ponter uniquement le VLAN de part et d'autre du routeur linux en utilisant un outil du noyau, c'est encore mieux, mais là, sans référence, je sèche...

 

[EDIT] : j'y travaille, ça devrait fonctionner bientôt, je posterai la solution d'ici ce soir...

Edited by nemo136

Share this post


Link to post
Share on other sites
Désolé pour le temps de réponse de deux mois :heh:

Tu es très loin de mon record dans un forum.

 

Pour l'instant, ça tourne avec un brouter, mais ce n'est pas très propre effectivement (je fais d'abord le bridge, puis je vire de ce dernier tout ce qui n'est pas sur le vlan de la freebox / freebox HD).

Il faut faire le contraire :

- trier selon le VLAN

- ponter ce que de droit

 

Donc il faut créer des devices VLAN avec vconfig (d'après la doc, je n'ai jamais fait ça) :

vconfig set_name_type DEV_PLUS_VID_NO_PAD
vconfig add wan 100
vconfig add lan 100

Puis les ponter :

brctl addbr freeboxhd 
brctl stp freeboxhd off
brctl addif freeboxhd wan.100
brctl addif freeboxhd lan.100

Tout ça non testé et sans garantie...

 

De plus, je dois faire gaffe au bridge pour toutes mes manips (network restart...)

Une fois que ça marche, copier-coller dans /etc/init.d/network, en n'oubliant pas le stop :

brctl delbr freeboxhd
vconfig rem wan.100
vconfig rem lan.100

 

Share this post


Link to post
Share on other sites
Tu es très loin de mon record dans un forum.

 

 

Il faut faire le contraire :

- trier selon le VLAN

- ponter ce que de droit

 

Donc il faut créer des devices VLAN avec vconfig (d'après la doc, je n'ai jamais fait ça) :

vconfig set_name_type DEV_PLUS_VID_NO_PAD
vconfig add wan 100
vconfig add lan 100

Puis les ponter :

brctl addbr freeboxhd 
brctl stp freeboxhd off
brctl addif freeboxhd wan.100
brctl addif freeboxhd lan.100

Tout ça non testé et sans garantie...

 

 

Une fois que ça marche, copier-coller dans /etc/init.d/network, en n'oubliant pas le stop :

brctl delbr freeboxhd
vconfig rem wan.100
vconfig rem lan.100

 

Echec, j'avais fait une manip similaire et tenté de configurer la même chose dans les fichiers de conf sous debian, mais ça ne marche pô :(. Par contre, c'est peut être dû à iptables que j'ai réglé en mode "parano" pour être tranquille... donc bon, je continue mes recherches

Share this post


Link to post
Share on other sites
Echec, j'avais fait une manip similaire et tenté de configurer la même chose dans les fichiers de conf sous debian, mais ça ne marche pô :(.

Avant de changer les fichiers de config je préfère tester en interactif.

 

Tu as testé quoi comme commandes?

 

Par contre, c'est peut être dû à iptables que j'ai réglé en mode "parano" pour être tranquille... donc bon, je continue mes recherches

Ça ne risque pas de venir d'iptables, justement, puisque le but même est de ne pas router. ;)

 

Share this post


Link to post
Share on other sites
Tu as testé quoi comme commandes?

 

les tiennes principalement, mais je préfère au final travailler avec les fichiers conf de debian, c'est plus propre

 

Ça ne risque pas de venir d'iptables, justement, puisque le but même est de ne pas router. ;)

 

Par défaut chez moi, iptables drop tout sur toutes les interfaces, je crois que ça inclut les bridges :(

 

Bon, ça marche après un peu de bidouille pour tester des choses et d'autres.

 

En premier lieu, apparement sous debian il faut que chaque interface ait une ip pour que l'interface soit mise up!!!! donc dans les fichiers config ça donne :

 

pour /etc/network/interfaces :

#bridge freebox HD
auto brfree
iface brfree inet static
        bridge_ports eth0.100 eth1.100
        address X.X.X.35
        netmask 255.255.255.0
        broadcast X.X.100.255

#interface virtuelle freebox HD 0 
auto eth0.100
iface eth0.100 inet static
        address X.X.X.36
        netmask 255.255.255.0
        broadcast X.X.100.255

#interface virtuelle freebox HD 1 
auto eth1.100
iface eth1.100 inet static
        address X.X.X.37
        netmask 255.255.255.0
        broadcast X.X.100.255

 

Et ça doit suffire, faire un /etc/init.d/networking restart pour mettre tout ce petit monde à jour !

Ca évite de devoir bidouiller avec ebtables et c'est je crois la manière la plus propre de faire... Je me demande par contre ce que ça vaut au niveau sécurité.

 

Merci pour les infos :)

Share this post


Link to post
Share on other sites
les tiennes principalement, mais je préfère au final travailler avec les fichiers conf de debian, c'est plus propre

Question de goût.

 

Moi j'ai été écuré par le bazar configuratif de Mandrake où je finissais toujours pas modifier les scripts (au lieu des fichiers de config).

 

Par défaut chez moi, iptables drop tout sur toutes les interfaces, je crois que ça inclut les bridges :(

En principe, non.

 

Mais en fait, c'est possible avec nunux (tout est possible diront certains) : on peut traiter par iptables ce qui passe sur un pont, mais c'est considéré comme pas très propre, et il faut le demander explicitement (là tout de suite je me souviens plus de la commande...).

 

En cas de doute, tu peux tester avec -j LOG.

 

Bon, ça marche après un peu de bidouille pour tester des choses et d'autres.

 

En premier lieu, apparement sous debian il faut que chaque interface ait une ip pour que l'interface soit mise up!!!!

Aie! Même en pont?

 

donc dans les fichiers config ça donne :

 

pour /etc/network/interfaces :

#bridge freebox HD

auto brfree

iface brfree inet static

bridge_ports eth0.100 eth1.100

address X.X.X.35

netmask 255.255.255.0

broadcast X.X.100.255

 

#interface virtuelle freebox HD 0

auto eth0.100

iface eth0.100 inet static

address X.X.X.36

netmask 255.255.255.0

broadcast X.X.100.255

 

#interface virtuelle freebox HD 1

auto eth1.100

iface eth1.100 inet static

address X.X.X.37

netmask 255.255.255.0

broadcast X.X.100.255

 

Et ça doit suffire, faire un /etc/init.d/networking restart pour mettre tout ce petit monde à jour !

Et ça marche?

 

Après ça, que donne brctl show? ip link show? ip addr show?

 

Moi, je n'y comprends rien : c'est quoi X? 35? 36? 37? 100? (en gras dans le texte)

 

Comment peut-on manipuler les paramètres IP sur un périphérique ponté?

 

Share this post


Link to post
Share on other sites